ネットワーク可視化のススメ

投稿日：2019年11月29日

ネットワークの設計刷新や運用にあたって、顧客からは以下のような声をよく聞きます。

• 回線負荷が高いが、原因がよくわからない
• どこからどこへトラフィックが流れているか把握しきれない
• セキュリティ事故発生時の影響範囲がわからない
• 障害発生時の原因特定に時間がかかる

といった、どれも企業のシステム担当には頭の痛い問題かと思われます。もともと、ネットワークの管理・監視は

• 死活監視（Ping/HTTPレスポンス/プロセス監視）
• イベント監視（Syslog/EventLog/SNMPトラップ）
• 機器監視（性能監視/トラフィック監視）

といったものが手法としては多く、これらは問題や事象の「発見」のみを行うものが主な目的であったと言えます。
これでは、冒頭の問題に対して、切り分けのパーツとしての役割は果たすかもしれませんが、熟練者による対応が必須となる上、スピーディに解決することは甚だ困難です。

これらを解決するには「ネットワークの可視化」が極めて有効であると考えます。

さて、「フローデータ」というものはご存知でしょうか。インフラの歴が長い人は「ああ、sFlowとかNetFlowとか？※」といった単語が出てくるとは思いますが、その通りです。ネットワーク可視化にはこの「フロー」を使用します。
フローデータとは、ネットワーク上を流れる共通の属性を持ったデータであり、例えば「送信元/送信先IPアドレス」「送信元/送信先ポート番号」「プロトコル番号」などの属性が共通であれば、そのパケットは同一としてみなす技術で、ネットワーク機器から送信し、NetFlowサーバなどで受信・解析を行います。

「そんなもの、パケットキャプチャしてフィルタすれば良いのでは？」と思うかもしれませんが、フローの肝としては「データの集約」であり、キャプチャに比べ、最大で500分の1程度にまでなると言われております。これにより、定常的にパケットキャプチャに匹敵する情報を収集し続けることが可能となります。
送られたフローを解析することにより、「誰が」「いつ」「どこで」「何を」「どのくらい」しているのかすぐに分かるようになり、各種問題解決への強力なツールとなるでしょう。

仕組みとしてはかなり前からあったはずですが、フロー解析ツールが使いにくかったり、NetFlowがCisco独自規格（その他ベンダで生成できない）であったことなどから、私の周りではあまり流行ってはいませんでした。

しかし、最近のフロー解析アプライアンスは、取得したパケットキャプチャを自動でフロー変換して送信できるものや、ユーザ視点での簡易かつ強力な解析ツールを実装しているものも出てきており、導入のハードルはかなり下がっている印象です。
ネットワークの問題や課題に悩んでいるのであれば、その助けとなるのは間違いないと言えるでしょう。

※sFlowは特定の割合（1/1024など）でパケットを取得し、総量を推定する方式で、いわゆるサンプリングによるフロー生成を行う古い規格となります。NetFlowはサンプリングなしのフロー生成が可能で、より制度の高いトラフィック情報取得が可能です。

---